Источник: https://winitpro.ru/index.php/2022/02/16/kto-perezagruzil-vyklyuchil-windows-server/
Решение: Информация об учетной записи, которая отправила команду перезагрузки Windows сохраняется в журнал событий.
- Открыть консоль Event Viewer (
eventvwr.msc), перейти в раздел Windows Logs -> System; - Включить фильтр журнала событий, выбрав в контекстном меню пункт Filter Current Log;
- В поле фильтра указать EventID 1074;
- В журнале событий останутся только события выключения (перезагрузки);
- В событии от источника User32 будет указан пользователь, который инициировал перезагрузку Windows.
Можно получить информацию с помощью PowerShell. Следующая команда выберет все события с EventID 1074:
Get-WinEvent -FilterHashtable @{logname=’System’;id=1074}|ft TimeCreated,Id,Message
Если Windows была перезагружена нештатно
(например, при потере электропитания, или появления BSOD), нужно
искать события с EventID 6008.
Комментариев нет:
Отправить комментарий